繁体 English 中英

php，filter_var或htmlentities中的URL过滤

[英]URL filtering in php, filter_var or htmlentities

原文 2010-07-06 17:06:39 2 2 php/ security

对于安全的URL查询，什么更安全？ filter_var（$ string，FILTER_SANITIZE_SPECIAL_CHARS）或htmlentities ？

第一个显然是为了这个目的而设计的。

你在防守什么？ 漏洞很大程度上取决于数据的使用方式。 它不可能创建一个防止一切的函数调用，混合保护系统（如xss和sql注入）是一个非常糟糕的主意。

对于XSS，您应该使用： htmlspecialchars($var, ENT_QUOTES);

对于mysql中的Sql Injection，你应该使用mysql_real_escape_string($var);

如果要将用户输入传递给system()或其他类似函数，则应使用escapeshellarg($var);

这些是前三名，混合这些只会造成问题。

在PHP中将filter_var与htmlentities一起使用会很好吗？

[英]Is it good to use filter_var with htmlentities in PHP?

[英]PHP filter_var URL

[英]filter_var vs htmlentities vs htmlspecialchars

[英]PHP filter_var() - FILTER_VALIDATE_URL

[英]Why does filter_var() encode quotes differently than htmlentities()?

[英]filter_var in php 5.3.8

[英]Php filter_var function

[英]filter_var php question

[英]PHP - Filter_var alternative?

[英]PHP filter_var bug?

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 在PHP中将filter_var与htmlentities一起使用会很好吗？ PHP filter_var URL filter_var vs htmlentities vs htmlspecialchars PHP filter_var（） - FILTER_VALIDATE_URL 为什么 filter_var() 对引号的编码与 htmlentities() 不同？在php 5.3.8中的filter_var Php filter_var function PHP的filter_var问题 PHP - Filter_var替代？ PHP filter_var错误？

相关标签